Jak importovat kořenový certifikát CAcert do klientského softwaru

Viz také: Import kořenových certifikátů | E-mailové klientské programy

Chcete-li navštívit web, který používá SSL certifikát podepsaný CAcertem, můžete od SSL dostat výstrahu. Je nám líto, ale v současnosti je to stále ještě 'normální', protože hlavní (nejrozšířenější) prohlížeče ještě standardně neobsahují kořenový certifikát CAcertu. (Zkontrolujte stránku Stav vložení pro poslední zprávy o této věci.)

Tento článek říká, jak můžete manuálně vložit kořenový certifikát CAcert (CAcert Root Certificate) do svého webového prohlížeče a dalších klientských programů (jako Acrobat Reader), abyste už zmíněnou výstrahu nedostávali.

Očekávaný výsledek: Navštívíte https://www.cacert.org/ a další weby používající CAcertem vydané certifikáty a nedostanete už žádné výstrahy o neznámých certifikátech.

Mozilla Firefox

Firefox add-on (přídavný modul)

Importér kořenových certifikátů CACert.

/!\

Firefox nových verzí (například Firefox verze 39.0 v Ubuntu 14.10) Vám nedovolí ruční import kořenového certifikátu CAcert root, protože jeho podpis algoritmem MD5 již nepovažuje za bezpečný. Zde nejlépe pomůže instalace přídavného modulu Firefox, jak je uvedena výše. Po instalaci kořenových certifikátů pomocí přídavného modulu zkontrolujte a upravte jejich důvěryhodnost (Nástroje - Možnosti - Soukromí a zabezpečení - Zobrazit certifikáty - Autority - vybrat certifikáty pod Root CA - Upravit důvěru, jak je popsáno níže, bod 3).

Firefox používá svůj vlastní Správce certifikátů (Certificate Manager). Takže i když Vaše aplikace Windows (a jiné od Microsoftu) již používají kořenový certifikát CAcert, Firefox ještě nemusí.

Čtení kořenových certifikátů ze systémového úložiště Windows

Prohlížeč Firefox má své vlastní úložiště. V nových verzích (od roku cca 2017) lze však nastavit, aby si přečetl certifikáty autorit i ze systémového úložiště Windows.

Nastavení najdete na stránce about:config jako security.enterprise_roots.enabled a je třeba nastavit ho na true.

Import kořenového certifikátu CAcert

  1. Jděte na web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Klikněte na 'Kořenový certifikát (formát PEM)' x1)

  3. Uvidíte zprávu:

You have been asked to trust a new Certificate Authority (CA).
Do you want to trust "CA Cert Signing Authority" for the following purposes?
[ ] Trust this CA to identify web sites.
[ ] Trust this CA to identify email users.
[ ] Trust this CA to identify software developers.
Before trusting this CA for any purpose, you should examine its certificate
and its policy and procedures (if available).
[VIEW] Examine CA certificate
(česky):
Dotaz, zda důvěřujete nové certifikační autoritě (CA)?
Chcete důvěřovat "CA Cert Signing Authority" (podepisující autoritě Ca Cert) pro tyto účely?
[ ] Důvěřuji této CA pro identifikaci webů.
[ ] Důvěřuji této CA pro identifikaci uživatelů e-mailu.
[ ] Důvěřuji této CA pro identifikaci vývojářů softwaru.
Před vyslovením důvěry této CA pro kterýkoli účel prozkoumejte její certifikát a jeho zásady a procedury (jsou-li dostupné).
[ZOBRAZIT] Zkontrolujte certifikát CA
  1. Měl(a) byste kliknout na VIEW (ZOBRAZIT) a zkontrolovat certifikát. Nejdůležitější je zkontrolovat "otisky prstů" (fingerprints) certifikátu x2). Měly by se shodovat (v případě kořenového certifikátu CAcert) s:

SHA1 otisk prstu: 135C EC36 F49C B8E9 3B1A B270 CD80 8846 76CE 8F33
MD5  otisk prstu: A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
  1. Zavřete prohlížeč certifikátů a označte aspoň první možnost ('Důvěřuji této CA pro identifikaci webů.').
  2. Stiskněte OK, to je vše. Viz však žlutou poznámku výše.
  3. Celý postup opakujte pro kořenový certifikát třídy 3 (CAcert class3.pem). /!\ Zde však certifikátu třídy 3 nevyslovujte důvěru /!\ Důvěra se totiž (ať pro první, druhý nebo třetí účel) týká výslovně daného certifikátu. To je správné pro kořenový certifikát třídy 1, ale tento zprostředkující certifikát třídy 3 dědí důvěryhodnost od kořenového certifikátu třídy 1 (který jej podepsal) a pokud bychom mu dali výslovnou důvěryhodnost, nesestavil by se správně řetěz certifikátů od kořenového přes zprostředkující k Vašemu klientskému. Viz Sestavení řetězu certifikátů.

Instalace Seznamu odvolaných certifikátů (Certificate Revocation List, CRL)

  1. Klikněte tlačítko 'Revocation Lists' (odvolací seznam) v Preference -> Upřesnit -> Šifrování (Preferences-> Advanced-> Encryption) a tím otevřete okno Manage CRL (Práce s CRL).

  2. Zde klikněte tlačítko "Import", pak zadejte URL http://crl.cacert.org/revoke.crl.

  3. Klikněte OK a nastavte preference automatické aktualizace podle potřeby. Poznámka: Po stisknutí OK může chvíli trvat, než se CRL importuje.

Chcete-li kontrolovat, modifikovat nebo odstranit kořenový certifikát CAcertu, máte k němu kdykoli přístup takto:

  1. Otevřete dialog Edit -> Preferences -> Advanced nebo Tools -> Options -> Advanced (úpravy-preference-upřesnit nebo nástroje-možnosti-upřesnit)

  2. Certificates -> Manage Certificates (spravovat certifikáty)

  3. Autority
  4. Certifikát CAcertu se nazývá Root CA (sjeďte v seznamu k 'R'!)

  5. Zvolte zde View, Edit nebo Delete.

Mozilla Thunderbird

Thunderbird používá svůj vlastní Správce certifikátů (Certificate Manager). Takže i když Vaše aplikace Windows (a jiné od Microsoftu) již používají kořenový certifikát CAcert, Thunderbird ještě nemusí. Následující procedura Vám řekne, jak importovat kořenový certifikát CAcert do Vašeho e-mailového klienta Thunderbird.

  1. Jděte na web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Klikněte PRAVÝM tlačítkem myši na 'Kořenový certifikát (formát PEM)' a uložte ho do vhodného umístění.
  3. Spusťte Thunderbird
  4. Podle verze Thunderbirdu
    • - u starších verzí: Preferences-> Privacy-> Security-> View Certificates -> CA

    • - u verze V2.x: Tools->Options->Encryption->View Certificates->Authorities

  5. Zvolte "Importovat certifikát" nebo "Import..."
  6. K importu zvolte stažený a uložený certifikát z kroku 2. Uvidíte zprávu:

You have been asked to trust a new Certificate Authority (CA).
Do you want to trust "CA Cert Signing Authority" for the following purposes?
[ ] Trust this CA to identify web sites.
[ ] Trust this CA to identify email users.
[ ] Trust this CA to identify software developers.
Before trusting this CA for any purpose, you should examine its certificate
and its policy and procedures (if available).
[VIEW] Examine CA certificate
(česky):
Dotaz, zda důvěřujete nové certifikační autoritě (CA)?
Chcete důvěřovat "CA Cert Signing Authority" (podepisující autoritě Ca Cert) pro tyto účely?
[ ] Důvěřuji této CA pro identifikaci webů.
[ ] Důvěřuji této CA pro identifikaci uživatelů e-mailu.
[ ] Důvěřuji této CA pro identifikaci vývojářů softwaru.
Před vyslovením důvěry této CA pro kterýkoli účel prozkoumejte její certifikát a jeho zásady a procedury (jsou-li dostupné).
[ZOBRAZIT] Zkontrolujte certifikát CA
  1. Měl(a) byste kliknout na VIEW (ZOBRAZIT) a zkontrolovat certifikát. Nejdůležitější je zkontrolovat "otisky prstů" (fingerprints) certifikátu *2). Měly by se shodovat (v případě kořenového certifikátu CAcert) s:

SHA1 otisk prstu: 135C EC36 F49C B8E9 3B1A B270 CD80 8846 76CE 8F33
MD5  otisk prstu: A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
  1. Zavřete prohlížeč certifikátů a označte aspoň první možnost ('Důvěřuji této CA pro identifikaci webů.').
  2. Stiskněte OK, to je vše. Viz však žlutou poznámku výše.
  3. Celý postup opakujte pro kořenový certifikát třídy 3 (CAcert class3.pem).

Jakmile jste instalovali kořenový certifikát do Thunderbirdu (nebo jiné Vaší klientské aplikace), můžete smazat soubor 'root.crt', který jste si stáhl(a) v kroku 2.

Pro instalaci Seznamu odvolaných certifikátů (Certificate Revocation List, CRL) stiskněte tlačítko 'Revocation Lists' v Preferences -> Advanced -> Certificates a tím otevřete okno Správa CRL (Manage CRL). Tam stiskněte tlačítko "Import", pak zadejte URL http://crl.cacert.org/revoke.crl, stiskněte OK a nastavte preference automatické aktualizace, jak je třeba. Poznámka: Po stisknutí OK může chvíli trvat, než se CRL importuje.

Apple Safari

K přidání kořenového certifikátu CAcert do Apple Safari potřebujeme použít aplikaci Keychain Access, která se dodává se systémem Mac OS X.

Pro instalaci certifikátu pro celý systém proveďte tyto kroky:

  1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Klikněte 'Kořenový certifikát (formát PEM)'. Tím ho stáhnete na plochu.
  3. Dvojklikem souboru 'root.crt' spustíte aplikaci Keychain Access.
  4. Pro kontrolu certifikátu klikněte na tlačítko 'View Certificates' (zobrazit certifikáty) na levé strabě dialogu.
    • Lion 10.7: 'Certificates' dole, ne však 'My Certificates' (Moje certifikáty). Klikněte na kořenový zobrazený v hlavním poli.

  5. Objeví se dialog s informacemi o certifikátu.
    • Lion: sjeďte ke spodku dialogu.

    • Ujistěte se, že se shodují tyto údaje:

"Otisky prstů" (Fingerprints)
SHA1: 13 5C EC 36 F4 9C B8 E9 3B 1A B2 70 CD 80 88 46 76 CE 8F 33
MD5: A6 1B 37 5E 39 0D 9C 36 54 EE BD 20 31 46 1F 6B
  1. Zvolte 'System' z rozbalovacího seznamu 'Keychain' a stiskněte OK.
    • Lion: Pro instalaci pro všechny uživatele přetáhněte certifikát(y) z Vašeho pole 'Certificates' doleva nahoru a pusťte nad 'System'.

  2. Budete požádáni, abyste se identifikovali. Pak bude certifikát instalován pro celý systém.

Aplikace Keychain Access zpřístupňuje certifikáty všem aplikacím včetn+ Chrome (ne však Thunderbird ani Firefox, které používají vlastní certifikátové ukládání, systém Mozilla).

Webový prohlížeč Opera

Toto se týká Linuxu 8.02, u 6.x a 7.x nejisté

  1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Klikněte na 'Kořenový certifikát (formát PEM)'
  3. Zvolte 'View' popř. 'Otevřít'
  4. Zvolte 'Allow connections to sites using this certificate' (povolit připojení k webům, používajícím tento certifikát)
  5. Je-li to žádoucí, zrušit 'Warn me before using this certificate' (upozornit mě před použitím tohoto certifikátu)

Příležitostně může vyvstat problém s průchodem (uložením?) certifikátu do Opery 8.5 ve Windows. Problém obejdete takto:

  1. Zajistěte vyčistění mezipaměti (cache).
  2. Pokuste se získat certifikát pomocí změny identifikace Opery (Operu lze nastavit, aby se identifikovala jako jiné prohlížeče).
  3. Pokuste se získat certifikát při identifikaci Opery jako IE 6.0 (v Opeře).
  4. Pokste se ho získat znovu při identifikaci prohlížeče znovu jako Opera. Tentokrát by měl certifikát projít.

Zdá se, že je zde něco v práci s mezipamětí, kdy je třeba nastavit identifikaci jak IE, tak Opery zároveň, než Opera certifikát propustí. Je to zvláštní, ale funguje to.

Microsoft Internet Explorer

Při použití Microsoft Internet Exploreru máte dvě možnosti zavedení certifikátu. Buď ho instalovat automaticky použitím ActiveX, nebo ho importovat manuálně.

ActiveX

Instalace pomocí ActiveX (nefunguje ve Windows Vista)

  1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Klikněte na 'Balíček instalátoru Windows' (Windows Installer Package)
  3. Zkontrolujte, zda certifikát obsahuje:

"Otisky prstů" (Fingerprints)
SHA1: 135CEC36 F49CB8E9 3B1AB270 CD808846 76CE8F33
MD5: A61B375E 390D9C36 54EEBD20 31461F6B
  1. Klikněte Ano (Yes).

Manuální instalace (pro jednoho uživatele)

Chcete-li instalovat kořenový certifikát CAcert do Internet Exploreru manuálně:

  1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Stáhněte si kořenové a zprostředkující (Intermediate) certifikáty' (ve formátu DER nebo PEM - obojí je možné)
  3. Otevřete úložiště klíčů Windows (Windows Key Store) přímo z prohlížeče: Zobrazit -> Nástroje -> Možnosti Internetu -> Obsah -> Osobní -> Certifikáty, v IE vyšších verzí (10, 11): "Ozubené kolečko vpravo nahoře nebo menu Nástroje (menu se objeví po stisknutí Alt) -> Možnosti Internetu -> Obsah -> Certifikáty

  4. Vyberte
    1. pro třídu 1: záložku Důvěryhodné kořenové certifikační autority

    2. Pro třídu 3: záložku Zprostředkující certifikační autority

  5. Importujte certifikáty, které jste stáhl(a).

Poznámka: Tato procedura pouze přidá certifikáty CAcert aktuálnímu uživateli! Má-li počítač více uživatelských účtů a Vy chcete certifikáty přidat všem, čtěte další sekce:

Microsoft Windows

Jediný uživatel

  1. Navštivte web s kořenovými certifikáty CAcert: http://www.cacert.org/index.php?id=3

  2. Stáhněte si kořenové a zprostředkující (Intermediate) certifikáty' (ve formátu DER nebo PEM - obojí je možné)
  3. Přihlaste se jako Administrator (správce)
  4. Ve Windows Exploreru najděte stažený kořenový certifikát třídy 1 a klikněte na něj pravou klávesou myši, vyberte Instalovat certifikát (a klikněte Otevřít a Další, je-li třeba). U Windows 8 se zde napřed objeví dialog Průvodce, který Vám dá vybrat úložiště: Aktuální uživatel nebo Místní počítač - vyberte to první

  5. Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Důvěryhodné kořenové certifikační autority

  6. Klikněte Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.

  7. Ve Windows Exploreru najděte stažený zprostředkující certifikát třídy 3 a klikněte na něj pravou klávesou myši, vyberte Instalovat certifikát (a klikněte Otevřít a Další, je-li třeba). U Windows 8 se zde napřed objeví dialog Průvodce, který Vám dá vybrat úložiště: Aktuální uživatel nebo Místní počítač - vyberte to první

  8. Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Zprostředkující certifikační autority

  9. Klikněte Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.

Poznámka: Pod Windows 8, když v bodech 4 a 7 zvolíte v prvním kroku instalace certifikátu "Místní počítač", uloží se certifikát do ůložiště počítače pro všechny jeho uživatele. Následující postup pak není potřebný.

Více uživatelů

Máte-li na svém počítači více než jeden účet, nebudete chtít instalovat kořenové certifikáty CAcert pro každého uživatele zvlášť. Proto můžete ručně importovat kořenové certifikáty CAcert do úložiště místního počítače (Local Machine Store). Tato procedura funguje pouze pro programy Microsoftu (například Internet Explorer a Outlook), takže bude ještě třeba importovat certifikát do ne-Microsoftích prohlížečů a e-mailových klientských programů. Poznámka: Pro Windows 8 viz předchozí postup.

  1. Klikněte tlačítko Windows Start a zvolte Spustit

  2. Napište název programu mmc, stiskněte Enter - spustí se program správy mmc.exe

  3. V okně programu MMC zvolte z menu File položku Přidat nebo odebrat modul snap-in...

  4. Stiskněte tlačítko Přidat (u Windows 8 vyberte v levém seznamu Certifikáty, stiskněte Přidat> a přeskočte další krok

  5. Zvolte položku Certifikáty ze seznamu a stiskněte tlačítko Přidat

  6. Zvolte Účet počítače a stiskněte tlačítko Next

  7. Zvolte Místní počítač a stiskněte Konec; u Windows 8 OK a vynechte další krok

  8. Stiskněte tlačítko OK

  9. Rozklikněte strom vlevo, abyste viděl(a) uzel Důvěryhodné kořenové certifikační autority

  10. Pravým tlačítkem myši klikněte na Důvěryhodné kořenové certifikační autority

  11. Z menu zvolte Všechny úkoly, pak Importovat... z podmenu a stiskněte Další

  12. Vypište název s cestou anebo vyhledejte stažený kořenový certifikát CAcert třídy 1 a stiskněte Další

  13. Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Důvěryhodné kořenové certifikační autority

  14. Stiskněte tlačítko Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.

  15. Pravým tlačítkem myši klikněte na Zprostředkující certifikační autority

  16. Z menu zvolte Všechny úkoly, pak Importovat... z podmenu a stiskněte Další

  17. Vypište název s cestou anebo vyhledejte stažený kořenový certifikát CAcert třídy 3 a stiskněte Další

  18. Ověřte, že je vybrána volba označená Umístit všechny certifikáty do tohoto úložiště a že textové pole obsahuje text Zprostředkující certifikační autority

  19. Stiskněte tlačítko Další a pak Dokončit. Měl(a) byste dostat hlášení o úspěšném importu.

Nyní můžete okno programu MMC zavřít.

Microsoft Outlook

Postupujte podle výše uvedeného návodu pro Internet Explorer. (Úložiště je totéž.) Používáte-li Outlook 2007, musíte importovat certifikáty třídy 1 i třídy 3 (je-li Váš certifikát podepsán certifikátem třídy 3). Dalším problémem u Outlooku 2007 je, že se nestará o alternativní názvy (v certifikátu), takže se ujistěte, že je Vaše Veřejné jméno (Common Name) ve "Vystaveno pro" zadáno správně.

Testování: Microsoft Outlook 2010

Pznámka: Některé předchozí testy, které provedl Jason Curl v dubnu 2011, neposkytly jasné výsledky. Nelze zjistit, který software nepracuje správně (Outlook 2010 nebo Thunderbird verze 3)

Import objektu Skupinových zásad (Group Policy Object, GPO) do aktivního adresáře (Microsoft Active Directory)

Aby mohl jakýkoli produkt Microsoftu používat certifikáty generované CACert.org, budete muset ručně importovat kořenový certifikát do úložiště certifikátů. Můžete to udělat na svém stroji z téhož rozhraní, ALE chcete-li používat certifikáty po celém podniku / společnosti, budete muset postupovat podle tohoto textu, vypůjčeného z webu podpory Microsoftu.

Přidejte kořenovou CA třetí strany do důvěryhodných kořenových certifikátů v objektu zásad skupiny aktivního adresáře (Active Directory Group Policy object, AD GPO). Ke konfiguraci zásad skupiny v doméně Windows 2000, která bude distribuovat CA třetí strany do úložišť důvěryhodných kořenových certifikátů všech počítačů domény Windows:

  1. Klikněte Start -> Programy -> Nástroje pro správu -> Uživatelé a počítače služby Active Directory

  2. V levém panelu najděte doménu, ve které chcete upravit zásady.
  3. Klikněte doménu pravým tlačítkem myši a v menu pak klikněte Vlastnosti.

  4. Klikněte záložku Zásady skupiny (Group Policy). Windows server 2008 - viz POZNÁMKU

  5. Vytvořte novou položku zásad kliknutím na Nová (New) a pojmenujte ji.

  6. Klikněte na nový objekt a pak na Upravit (Edit). Otevře se nové okno.

  7. V levém panelu rozbalte položky: Konfigurace počítače, Zásady, Nastavení Windows, Nastavení zabezpečení, Zásady veřejných klíčů ('Computer Configuration', 'Windows Settings', 'Security Settings', 'Public Key Policy')
  8. Pravým tlačítkem myši klikněte na Důvěryhodné kořenové certifikační autority

  9. Z menu zvolte Všechny úkoly, pak Importovat... z podmenu

  10. Importujte certifikát podle instrukcí průvodce.
  11. Klikněte OK.

  12. Zavřete okno Zásady skupiny.

Upravit Výchozí zásady domény, jak předtím navrhoval tento článek wiki, není správný postup.

POZNÁMKA: Ve verzích Windows Server 2008 (a WS 2008 R2) již není přístup k zásadám skupiny z Vlastností domény v nástroji správy Uživatelé a počítače služby Active Directory (chybí záložka zásad. Místo toho je třeba spustit nástroj správy "Správa zásad skupiny", vyhledat doménu v jeho levém panelu, přidat tam nový objekt a nastavit, jak výše uvedeno od bodu 5.

Podpora SHA256 ve starších systémech Windows

Acrobat 6.0

Pro Acrobat READER 6.0.X,jestliže certifikátové úložiště Windows obsahuje kořenový certifikát CAcert, postupujte takto:

  1. Menu Edit -> Preferences (Úpravy -> Předvolby)

  2. Zvolte Digital Signatures (digitální podpisy)

  3. Stiskněte tlačítko Advanced Preferences (Upřesnit předvolby)

  4. Zkontrolujte tyto 3 možnosti:
    • Povolit import identit z certifikátového úložiště Windows do seznamu důvěryhodných identit Adobe (Adobe Trusted Identities List)
    • Ověřování podpisů
    • Ověřování certifikovaných dokumentů

Poznámka: Toto BY MĚLO fungovat také pro Acrobat 6 verze Academic, Standard a Professional, ale nebylo to ověřeno.

Acrobat 7.0 až 10.0

Jak přidat kořenový certifikát CAcert do certifikačního úložiště Adobe, když nepoužívá úložiště certifikátů Windows?

Dotaz: Dostávám chybové hlášení Certifier's Identity is Unknown (neznámá identita certifikátora)

Řečeno jednoduše: důvodem je, že kořenový certifikát CACert.org v Adobe není, protože od Akrobatu 7 mají své kořenové certifikáty v Akrobatu pouze 2 certifikační autority (GeoTrust a Adobe). Tím se musíte ve svých klientech prokousat, chcete-li používat certifikáty jiných CA k k podpisu svých dokumentů PDF. Acrobat Reader skutečně má schopnost ověřovat své dokumenty podle úložiště certifikátů Windows, alespoň Acrobat Reader 7 ji má. Postupujte takto:

  1. Otevřete Acrobat (Reader, Academic, Standard or Professional)
  2. Zvolte menu Edit (Úpravy)

  3. Zvolte Preferences (Předvolby)

  4. Zvolte kategorii Security (Zabezpečení)

  5. Stiskněte tlačítko Advanced Preferences (Upřesnit předvolby)

  6. Zvolte záložku Windows Integration (Integrace s Windows)

  7. Pak zaškrtněte tyto 3 možnosti:
    • Povolit import identit z certifikátového úložiště Windows do seznamu důvěryhodných identit Adobe (Adobe Trusted Identities List)
    • Ověřování podpisů
    • Ověřování certifikovaných dokumentů

Pamatujte: toto nainstaluje kořenový certifikát CAcert pouze do Vaší kopie Akrobatu, ne do jiného softwaru (do webového prohlížeče ani do klienta e-mailu).

Google Chrome

Linux

V Linuxu používá Google Chrome pro certifikátyNSS jako Mozilla, proto potřebujete nástroj certutil k jeho správě.

V Debianu/Ubuntu certutil přichází v libnss3-tools

$ sudo apt-get install libnss3-tools

a k importu našich kořenových certifikátů zadejte příkazy:

$ wget -O cacert-root.crt "http://www.cacert.org/certs/root.crt"
$ wget -O cacert-class3.crt "http://www.cacert.org/certs/class3.crt"

$ certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "CAcert.org" -i cacert-root.crt 
$ certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "CAcert.org Class 3" -i cacert-class3.crt

což bude fungovat ihned, bez restartování prohlížeče.

Vnější odkazy s dalšími podrobnostmi:

Mac OS X

Chrome používá pro správu klíčů systémový řetěz klíčů (keychain), viz instrukce pro nastavení uvedené v sekcích výše Apple Safari.

Externí dokumentace

Zbytky z původní stránky

Poznámka:

Protože můžete použít své osobní certifikáty (e-mailové) k podepisování dokumentů, začneme zásadní otázkou: "Jak generujete své klíče?"

Když žádáte od CA, například od CACert.org, certifikát, Váš počítač vygeneruje soukromý klíč a žádost, kterou pak použijete k získání části s veřejným klíčem, podepsané CA.

Používáte-li ke generování IE, uloží IE obě části Vašeho klíče do úložiště klíčů Windows. Používáte-li Firefox, budete mít trochu více potíží, protože budete muset exportovat klíč z úložiště klíčů Firefoxu a importovat ho do úložiště klíčů Windows, než ho budete moci použít ve Wordu nebo jiném produktu Office.

Manuální import/export osobních e-mailových certifikátů CAcert do Internet Exploreru

Proveďte tytéž instrukce jako výše.

V tomto stádiu můžete importovat celý svůj certifikát nebo ho zazálohovat, jedna z možností zálohy obsahuje uložení privátního klíče. Pro jednoduchost předpokládejme, že jste pro generování certifikátu použil(a) IE, je tedy certifikát v úložišti Windosw; pokud ne, vraťte se a udělejte to správně, ušetří Vám to bolení hlavy. Poznámka: Nebo použijte místo IE MMC modul "Certifikáty".

Často kladené otázky (FAQ)

Poznámky pod čarou


FAQ/BrowserClients/CZ (last edited 2018-11-22 09:43:14 by AlesKastner)